Протягом минулого року GitHub виплатив пів мільйона доларів як винагороду за виявлені вразливості. Загалом дослідники безпеки отримали від GitHub понад 1,5 мільйона доларів.
Програма GitHub Security Bug Bounty існує з 2014 року. В компанії кажуть, що найбільш активним за цю історію став 2020-й: з лютого минулого року і по лютий цього року довелось опрацювати більше заявок, ніж будь-коли.
Загалом дослідники подали 1066 звітів про помилки, а за 203 знайдених вразливості GitHub виплатив 524 250 доларів. Якщо рахувати з 2016 року, коли у GitHub з'явилась публічна програма на HackerOne, сервіс виплатив дослідникам 1 552 004 доларів.
«Улюбленим» багом за останній рік стала вразливість відкритого перенаправлення, яку знайшов дослідник Вільям Боулінг (William Bowling). Він показав, як можна запустити відкрите перенаправлення і скомпрометувати OAuth-потоки користувачів Gist; за це він отримав 10 000 доларів винагороди.
Торік GitHub приєднався до програми Common Vulnerabilities and Exposures і вже надає CVE-ідентифікатори вразливостям, що впливають на GitHub Enterprise Server.
Ще немає коментарів